Les demandes d'accès à l'information révèlent que 65 fiducies du NHS ont été touchées par un ransomware au cours des 5 dernières années
Depuis 2014, au moins 65 fiducies du NHS ont été attaquées « avec succès » par un ransomware. Au total, 209 incidents ont été signalés dans les documents obtenus grâce à nos demandes d'accès à l'information (FOI).
Alors que presque tous ces événements se sont produits avant 2018, le NHS a-t-il tiré les leçons de l’attaque paralysante WannaCry en 2017 ?
Nous avons soumis des demandes d'accès à l'information à toutes les fiducies britanniques pour savoir :
- Combien d'attaques de ransomware leurs fiducies ont-elles subies au cours des 5 dernières années
- S'ils ont payé ou non la rançon et quel en était le montant
- Combien de temps d'arrêt l'attaque a causé
- Quel a été le coût global pour la fiducie
Qu'avons-nous trouvé ?
Environ 34 % des fiducies ont été touchées par des attaques de ransomware. Au cours des 5 dernières années, au moins 209 attaques ont eu lieu (une attaque peut affecter un système entier ou un seul ordinateur), provoquant environ 4 943 heures (près de 206 jours) d'indisponibilité au total. Aucune des fiducies concernées n’a payé de rançon.
La plupart des trusts sont incapables de calculer le véritable impact de ces attaques sur leurs services quotidiens et/ou refusent de divulguer des informations sur leur cybersécurité, ce qui signifie que le total des dommages pourrait être bien plus élevé.
En fait, nous estimons que 23 autres trusts sont susceptibles d’avoir subi une forme d’attaque – au minimum. Cela augmenterait le temps d'arrêt global causé par environ 575 heures (24 jours).
Quelle année a vu le plus grand nombre d’attaques de ransomwares ?
2017 a été l’année la plus importante en matière d’attaques de ransomwares, en grande partie causées par les attaques WannaCry de mai. Parmi toutes les demandes de FOI que nous avons reçues, 48,33 % ont eu lieu en 2017, suivies de 21,05 en 2016, de 20,57 en 2015 et d'un peu plus de 3 % sur l'ensemble des années 2014, 2018 et 2019 combinées.
Le nombre plus faible d’attaques en 2018/19 démontre, espérons-le, que des procédures et des systèmes plus robustes sont en place suite à l’attaque à grande échelle de WannaCry en 2017. Cette tendance à la baisse coïncide avec augmentation des dépenses du NHS pour sécuriser les infrastructures locales, réduire les vulnérabilités, accroître la cyber-résilience et mettre à jour les systèmes informatiques vers Windows 10. Il a également été recommandé au personnel de suivre une formation de sensibilisation à la cybersécurité. Et il a été demandé aux organisations d’envisager de supprimer l’accès des membres du personnel aux systèmes informatiques s’ils n’avaient pas suivi cette formation obligatoire.
14 des attaques n’ont pas reçu de date précise parce que la fiducie ne connaissait pas ou n’était pas disposée à révéler la date pour des raisons de sécurité.
Il convient également de noter que les données de 2019 sont toujours en cours de traitement par les trusts, ce qui signifie que le nombre total d'attaques pourrait être plus élevé.
Combien de temps d’arrêt les ransomwares provoquent-ils dans les hôpitaux britanniques ?
Certaines fiducies n'ont noté aucun temps d'arrêt dû au ransomware, traitant l'attaque comme si de rien n'était. D'autres ont arrêté leurs systèmes par mesure de précaution et certains ont dû réimager leurs PC.
Le temps d’arrêt total n’est pas souvent enregistré car il peut affecter différents départements et/ou les coûts de personnel sont inclus dans les services informatiques.
Néanmoins, lorsque les fiducies ont fourni des chiffres sur les temps d'arrêt, ceux-ci ont démontré à quel point les attaques de ransomware peuvent être perturbatrices. L'attaque moyenne provoque jusqu'à 25 heures de temps d'arrêt.
Une fiducie a fermé ses systèmes pendant 48 heures par mesure de précaution tout en gardant certains autres hors tension pendant plusieurs semaines afin qu'ils puissent être réparés et restaurés si nécessaire.
Le véritable coût des ransomwares pour les hôpitaux britanniques
La grande majorité des trusts n’ont pas été en mesure de quantifier l’ampleur des temps d’arrêt provoqués par les ransomwares. En conséquence, l’impact de ces attaques sera probablement bien plus important que ce que prétendent les rapports.
Nous avons demandé aux trusts combien coûtait chaque attaque de ransomware à leur organisation, mais beaucoup n'ont pas été en mesure de le quantifier. Certains ont publié des chiffres basés sur les coûts de personnel supplémentaires nécessaires à la restauration des systèmes, tandis que d'autres ont révélé le coût de remplacement des systèmes concernés. Peu d’entre eux ont été en mesure d’indiquer le véritable impact que cela a eu sur des éléments tels que les admissions, les annulations et la fréquentation des services d’urgence.
UN rapport récent par le ministère de la Santé et des Affaires sociales a examiné spécifiquement le coût de l'attaque WannaCry. Il a estimé que lors de l'attaque, la perte de production aurait coûté au NHS 19 millions de livres sterling, auxquels s'ajoutent 0,5 million de livres sterling pour les coûts informatiques. Par la suite, 72 millions de livres sterling supplémentaires ont été nécessaires pour restaurer les systèmes et les données affectés par l'attaque. Cela porte le coût total de l’attaque WannaCry à près de 92 millions de livres sterling (120,7 millions de dollars).
Même si les attaques de ransomware diffèrent et ne peuvent affecter qu’un seul ordinateur au sein de la fiducie, ces estimations indiquent que le coût des attaques de ransomware au cours des cinq dernières années peut atteindre neuf chiffres.
Néanmoins, la forte diminution des attaques depuis 2017 montre que l’argent injecté dans l’amélioration des systèmes informatiques et des connaissances en matière de cybersécurité au sein du NHS porte ses fruits. Mais comme les experts suggèrent , il est crucial que davantage d’argent soit consacré à la sécurité et que de meilleures garanties soient mises en place à mesure que la technologie progresse à un rythme rapide.
À l’heure actuelle, il n’existe pas de normes minimales convenues en matière de sécurité, et les politiques d’approvisionnement ne détaillent pas suffisamment la manière dont les appareils doivent être surveillés et réglementés. Cela signifie que les fournisseurs sont peu incités à garantir une cybersécurité de premier ordre pour leurs appareils, car ce n’est pas une exigence et peut s’avérer coûteux.
Le NHS ne dispose pas de ces garanties impératives pour les dispositifs médicaux, ce qui expose potentiellement les systèmes à de nouvelles menaces de cybersécurité et à des attaques à grande échelle comme l’attaque WannaCry de 2017. Et avec la récente vague d'attaques dans le États-Unis et Australie et une vaste attaque contre un hôpital français qui a touché 6 000 ordinateurs , la menace reste imminente.
Méthodologie
Pour collecter les données, des demandes d'accès à l'information ont été soumises à toutes les fiducies du Royaume-Uni. Environ 80 pour cent des hôpitaux nous ont fourni les informations demandées. Les 20 pour cent restants ont refusé ou n’ont pas répondu à notre demande.
Pour aider à préserver l’anonymat des fiducies concernées, nous n’avons pas inclus les noms.
Certaines fiducies ont souligné que le coût d'une attaque était négligeable. Par conséquent, lorsque nous avons calculé le coût moyen d’une attaque de ransomware, ces chiffres de 0 £ ont été inclus. Il en va de même pour les temps d'arrêt, pour lesquels certaines fiducies ont déclaré que le montant était nul.
Lorsque les coûts et les temps d'arrêt étaient inclus, les coûts incluaient souvent le temps et l'équipement nécessaires à la réimage des ordinateurs ainsi que les coûts de personnel supplémentaires. Comme nous l'avons noté, il est difficile pour les fiducies de connaître les coûts globaux impliqués par les temps d'arrêt de leurs systèmes et certaines peuvent enregistrer des coûts différents des autres.
Notre estimation des 23 autres trusts susceptibles d'avoir fait l'objet d'une attaque est basée sur le fait que 34 % des hôpitaux qui ont répondu à nos demandes de FOI avaient été victimes d'un ransomware. Nous pouvons donc appliquer ce chiffre aux 67 trusts qui n’ont pas répondu à nos demandes ou qui ont refusé de le faire, ce qui nous donne le chiffre de 23 (34 pour cent de 70).